ICT学习笔记
目录
LAN1.1 数通部分(计算机网络)
1.1.1 HDLC协议&零比特插入技术
HDLC技术
零比特插入技术
1.1.2 TCP/IP协议
1.2 网络链路争用协议
1.3 网络资源共享协议
1.3.1 资源搜索引擎与web服务协议
1.3.2 电子邮件服务
1.3.3 物联网的概念、模型与协议
1.4 计算机网络设备及其配置管理
1.4.1 网内互联设备
1.4.2 网间互联设备
1.5 网络设备管理及配置方法
1.6 实验部分
2.1 HCIA Datacom V1.0
数据通信网络基础
数据通信网路
网络参考模型
应用层
FTP
Telnet
传输层
网络层
数据链路层
物理层
华为VRP系统
VRP概述
文件系统
存储设备
设备初始化过程
设备管理
VRP用户界面
VRP用户级别
命令行方式-本地登录
命令行方式-远程登录
命令行基础
命令行视图
命令行快捷键
基本配置命令
案例
网络层协议及IP编址
五类地址
私网IP地址
ICMP协议
以太网交换基础
VLAN原理及配置
生成树
桥ID
Cost
RPC
Port ID
BPDU
配置STP过程
STP的接口状态
接口状态迁移
拓扑变化——根桥故障
拓扑变化——直连链路故障
拓扑结构变化——非直连链路故障
拓扑改变导致MAC地址表改变
拓扑变化及MAC地址表项的更新
STP的基础配置
STP的不足
RSTP概述
MSTP概述
堆叠与园区网络树形结构组网形态
Smart Link
链路聚合、堆叠、集群
单板的可靠性
链路聚合技术
手工模式
手工模式下的缺陷
LACP模式
负载分担
典型使用场景
堆叠与集群
堆叠、集群的优势
实际应用
实现VLAN间通信
路由器物理接口实现VLAN间通信
路由器子接口实现VLAN间通信
三层交换机与VLANIF接口
VLANIF转发流程
IP路由基础
三大路由表的生成方式
直连路由
路由表中各个表项内容
度量值
最长匹配原则
等价路由
浮动路由
路由汇总
路由汇总引发的问题
环路问题
环路问题的解决方案
ACL配置及原理
ACL概述
ACL的组成
规则编号
通配符
ACL的分配与标识
基本ACL
高级ACL
ACL的匹配机制
ACL的匹配顺序及匹配结果
ACL的匹配位置
ACL的基础配置
AAA配置与原理
AAA常见架构
认证
授权
计费
AAA实现协议——RADIUS
AAA常见应用场景
AAA配置实现
网络地址转换
静态NAT
动态NAT
NAPT、Easy-IP
NAT Server
网络服务与应用
文件传输——FTP
FTP传输过程
文件传输——TFTP
TFTP上传下载文件过程
Telnet
虚拟用户界面
DHCP
DHCP优点
DHCP工作原理
DHCP租期更新
HTTP
DNS
DNS查询方式
网络时间协议NTP
NTP网络结构
WLAN概述
IEEE 802.11
发展过程
无线接入点AP
无线接入控制器AC
PoE交换机
WLAN组网架构
编辑
FAT AP架构
AC+Fit AP架构
CAPWAP协议
CAPWAP隧道
CAPWAP在传输层传输的两种类型消息
AP-AC组网方式
AC连接方式
无线通信系统
无线电磁波
无线信道
BSS/SSID/BSSID
虚拟AP VAP
扩展服务集 ESS
WLAN的工作原理
LAN1.1 数通部分(计算机网络)
1.1.1 HDLC协议&零比特插入技术
HDLC技术
早期的链路层控制协议面向字符,典型代表是IBM公司推出的BSC
后来IBM又推出面向比特的链路控制协议SDLC
HDLC协议支持的两种类型传输模式:同步传输模式、异步传输模式
异步传输模式:以字节为单位传输数据的方法,并且需要另设起始位和终止位标志每个字节的开始与结束
同步传输模式:以固定的时钟节拍发送数据信号,在计算机网络中采用的是同步传输模式
同步传输模式下的HDLC帧结构:
| 标志字段F | 地址字段A | 控制字段C | 信息字段I | 帧校验字段FCS | 标志字段F |
- 标志字段是01111110,因为传输的数据可能与标志字段重复,所以采用了零比特插入技术
- 地址字段指定接收者的地址,默认为一个字节,当地址字段A是全1则为广播方式,当地址字段是全0则为无效地址。在以太网中HDLC的地址字段长度为6个字节
- 控制字段用于指示帧的类型,指定各种命令以及响应方式,长度默认为1个字节。在以太网中,HDLC的地址字段长度为2个字节;根据控制字段的最高两个比特的取值,可以将HDLC帧指定为信息帧,监督帧和无编号帧三种类型
- 信息字段承载的是网络层的数据包,长度由帧校验字段FCS或通讯节点的缓存容量决定,使用较多的是1000-2000比特,下限是0(S帧时)。在以太网中,信息字段的长度为46字节到1500字节
- 帧校验字段用于对两个标志字段之间的内容进行错误检测,默认为2字节,在以太网中可以扩充到4字节。错误检测使用的技术是循环冗余码技术(CRC),CRC又被称为多项式码,是局域网和广域网的数据链路通信中用的最多、也是最有效的一种差错控制编码
零比特插入技术
保证标志字段的唯一性和数据传输的透明性
发送方监视除标志字段F以外的所有字段,发现出现连续的5个1的时候,便在之后自动补0
接收方在接收数据的时候同理,发现五个连续的1的时候,就自动删除其后面的0
1.1.2 TCP/IP协议
TCP是面向字节的传输协议,传输的报文长度要小于64K
TCP协议只能解决两个进程之间的通信问题,所以不能实现多播
TCP的流量控制
用于解决收发双方处理能力不匹配的问题
最简单的流量控制解决策略是接收方通知发送方自己的处理能力,然后发送方按照接收方的处理能力来发送
在TCP协议中采用动态缓存分配和可变大小的滑动窗口协议来实现流量控制
TCP的拥塞控制
慢启动,拥塞避免,快重传,快恢复
IP分组结构
整个IP分组的长度是4个字节的整数倍
IP路由协议
RIP,IGRP,EIGRP,OSPF,IS-IS是内部网关协议,适用于单个ISP的统一路由协议的运行。BGP是自治系统间的路由协议,是一种外部网关协议,多用于不同ISP之间交换路由信息
1.2 网络链路争用协议
局域网中大多采用的是总线型结构,当大量网络节点共享同一通信链路或信道时,需要解决的问题是共享信道的分配。多路访问协议是解决共享信道竞争的主要手段,它可以分为有冲突协议和无冲突协议
有冲突协议:只要有数据就发送,在发送前也不需要与其他节点协调对信道的使用权,典型的有冲突协议包括CSMA/CD协议
无冲突协议:局域网中的每个节点按照特定仲裁策略完成发送过程,避免了数据发送过程中冲突的产生。令牌协议是一种典型的无冲突协议,基本思想是每个节点要发送数据前必须截获令牌。典型的无冲突协议包括令牌总线网和令牌环网
1.3 网络资源共享协议
1.3.1 资源搜索引擎与web服务协议
万维网:基于超文本传输协议HTTP的,全球的,跨平台的分布式图形信息系统。万维网使用的是一种全新的服务器/浏览器模式(B/S),是对客户/服务器(C/S)模式的一种改进
1.3.2 电子邮件服务
发送方以SMTP协议将邮件发送到发送端邮件服务器,再经由因特尔网到达接收端邮件服务器,接收端通过POP3协议读取邮件信息
典型的电子邮件服务协议
SMTP:简单电子邮件传输协议,用于电子邮件的发送,SMTP是一种提供可靠且有效的电子邮件传输的协议;建立在FTP文件传输协议的基础上,主要用于系统之间的邮件信息传递,并提供来信通知
POP3:邮局协议第3版,用于电子邮件的接收;POP3是第一个离线的电子邮件协议,允许用户从服务器上接收邮件并将其存储到本地主机,同时根据客户端的操作,删除或保存在邮件服务器上的邮件。这样客户就不用长时间与邮件服务器进行连接
1.3.3 物联网的概念、模型与协议
1998年,MIT提出了基于RFID技术的唯一编号方案,即产品电子代码(EPC)
物联网:通过射频识别技术,传感器,红外感应器,全球定位系统,激光扫描器等信息采集设备对互联网进行信息交换和通信,从而达到智能化识别、定位、跟踪、监控和管理的网络
RFID技术:一种非接触的全自动识别技术,基本原理是利用电磁信号和空间耦合的传输特性实现对象信息的无接触传递,从而实现对静止或移动的物体或人员非接触自动识别;通常一个RFID系统是由电子标签、读写器、数据管理系统组成
RFID的识读协议:RFID的识读流程采用三次握手的认证协议
- 第一次握手时,读卡器向标签发送信息,标签收到信息后可以明确标签的接收功能正常
- 第二次握手时,标签向读卡器发送信息作为应答,读卡器收到信息后,可以明确读卡器的发送和接收功能正常
- 第三次握手,读卡器向标签发送信息,标签收到信息后,可以明确标签的发送功能是正常
1.4 计算机网络设备及其配置管理
1.4.1 网内互联设备
网内互联设备:网卡、网络传输介质、中继器与集线器、交换机
交换机按照接入位置可以分为:接入层交换机、汇聚层交换机、核心层交换机
接入层交换机:直接面向用户,将用户终端连接到网络,接入层交换机具有低成本和高端口密度特性,一般用于办公室,小型机房
汇聚层交换机:用于楼宇之间的多台接入层交换机的汇聚,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路。因此与接入层交换机相比,需要更高的性能,更少的接口
核心层交换机:用于汇聚层交换机的汇聚,目的在于高速转发通信
1.4.2 网间互联设备
网桥:具有寻址和路径选择的功能,筛选与过滤功能,同时还具有网络管理功能(对扩展网络的状态进行监督)
无线路由器:设置一个业务组标识符(SSID),移动用户搜索该SSID后,通过输入账号密码登录后就能够无线上网。IEEE采用WAP协议来设置安全机制,并衍生出WPA,WPA2,WPA3
网关:既可以用于广域网互连,也可以用于局域网。与网桥简单的传达信息不同,网关对收到的信息还要重新打包,同时网关还具有过滤与安全功能;网关的主要功能:①完成互联网间协议的转化,②完成报文的存储转发和流量控制,③完成应用层的互通及互联网间网络管理功能,④提供虚电路接口及相应的服务。
1.5 网络设备管理及配置方法
目前常用的管理方案与协议:简单网络管理协议(SNMP)、虚拟局域网方案(VLAN)
简单网络管理协议:是最早提出的网络管理协议之一
虚拟局域网方案:VLAN的划分可以按照静态机制和动态机制实现;如果管理员固定了交换机端口和VLAN ID之间的对应关系,称之为静态机制。交换机为主机自动配置端口所需要的VLAN,称之为动态机制(动态VLAN)
动态VLAN的配置方式
- 基于MAC的VLAN,适用于二层交换机,将所有主机的硬件地址MAC都加入到VLAN的管理数据库中。缺点是主机更换了网卡后,管理数据库需要重新设定
- 基于IP的VLAN,适用于三层交换机,这种方式会记录子网ID和VLAN ID的映射,无论网卡怎么改变,只要主机IP不变,交换机就可以根据主机的子网ID自动配置对应的VLAN ID
- 基于用户的VLAN,根据操作系统的用户决定VLAN
VLAN的管理平台:VRP
VRP平台以TCP/IP协议栈为核心,集成了路由,Qos,VPN,安全技术,IP语音技术等等,以IP转发引擎作为基础
1.6 实验部分
完成跨交换机的VLAN配置
首先完成拓扑图的搭建,并为各个主机配置地址信息:PC1,PC2,PC3,PC4
在交换机SC1中创建VLAN,将与终端相连的端口设置为access模式并将各个端口划分到各自对应的VLAN中,将与交换机SC2相连的端口设置为trunk模式,并允许VLAN2 与VLAN3通过
Gi0/0/1端口配置
Gi0/0/2配置
Gi0/0/3配置
在交换机SC2中的配置与SC1一样,配置完成后下面验证(在PC1上去ping其他主机)
错题记录:
MAC地址是由6字节组成的
常见的网络设备有防火墙,路由器,交换机,无线接入点
常见的路由协议由:BGP,IS-IS,OSPF(UDP不属于路由协议,它工作在传输层)
表示网络节点身份的有:MAC地址,IPV4,IPV6(VLAN ID不能)
按照网络共享服务方式,计算机网络可以分为:局域网,广域网,城域网(没有地域网)
私网IP地址可以重复利用
HDLC协议是基于链路层的
2.1 HCIA Datacom V1.0
数据通信网络基础
数据通信网路
基本功能:实现数据互通
无线设备的两种模式:无线胖AP(集成了所有的功能),无线瘦AP(功能较少,更多是完成信号收集功能)
网络类型:局域网LAN,城域网MAN,广域网WAN
网络拓扑:用传输介质互连各种设备呈现的结构化布局
网络拓扑形态:星型,总线型,环形,树形,全网形,部分网状网络
星形网络:容易添加网络;中间节点的故障会影响整个网络的故障
总线型网络:安装方便;总线故障会影响整个网络的故障
环型网络:节省电缆;增加节点比较麻烦
树形网络:能将多个星型网络组合起来;层级越高的节点出现故障问题越严重
全网型网络:可靠性高;成本高
部分网状网络:成本低于全网型网络;性能相比会有所降低
防火墙的功能:
隔离不同安全级别的网络
实现不同安全级别的网络之间的访问控制
实现远程接入功能
实现数据加密及虚拟专用网业务
执行网络地址转换
网络参考模型
OSI的七层协议结构图
TCP/IP的结构
TCP/IP常见的协议
| 应用层 | Telnet、FTP、TFTP、SNMP HTTP、SMTP、DNS、DHCP |
| 传输层 | TCP、UDP |
| 网络层 | ICMP、IGMP IP |
| 数据链路层 | PPPoE Ehernet、PPP |
| 物理层 | .... |
IGMP:负责IP主播成员管理的协议,它用来在IP主机与其直接相邻的组播路由器之间建立,维护组播成员关系
PPP:p-to-p协议,一种点对点模式的数据链路层协议,多用于广域网
Ethernet:一种多路访问广播型数据链路层协议
PPPoE:提供简单桥接访问设备把一个网络的多个主机连接到远程访问集中器的功能,常见的应用有家庭拨号上网
常见协议标准化组织:IETF(负责推广TCP/IP簇)、IEEE(WIFi,802.11等等)、ISO(OSI模型)
应用层
应用层为应用软件提供接口。应用层协议会指定使用相应的传输层协议,以及传输层所使用的端口
| HTTP | 80 | TCP | 超文本传输协议 |
| Telnet | 23 | TCP | 远程登录协议,提供远程管理服务 |
| FTP | 20/21 | TCP | 文件传输协议,提供互联网文件资源共享服务 |
| SMTP | 25 | TCP | 简单邮件传输协议,提供互联网电子邮件服务 |
| TFTP | 69 | UDP | 简单文件传输协议,提供简单的文件传输服务 |
TCP/IP结构的每一层之间都以PDU(协议数据单元)彼此交换信息
FTP
从一台主机传送文件到另一台主机的协议,采用C/S结构
FTP客户端:提供本地设备对远程服务器的文件进行操作得到命令
FTP服务器:运行FTP服务的设备,提供远程客户端访问和操作的功能
Telnet
提供远程登录服务的协议
传输层
接收来自应用层的数据,传输层的PDU叫做段
TCP与UDP报文格式
客户端的源端口是随机分配的,但是目的端口是固定的;源端口一般情况下大于1023
TCP的四次握手关闭过程
因为TCP是全双工模式,在传输结束的时候双方都需要断开连接
网络层
传输层负责建立进程与进程之间的连接,网络层负责一台主机到另一台主机的传递。网络层的PDU叫做包
网络层收到上层协议传来的数据时,会封装一个IP报文头部,并且把源IP地址和目的IP地址封装到其中
IP协议在工作的时候,需要如同OSPF,IS-IS,BGP等路由协议帮助路由器建立路由表,ICMP进行网络的控制与状态检测
数据链路层
数据链路层的PDU叫做帧
负责帧编码与差错控制
MAC地址长度为6位,48比特,通常采用12位的16进制表达,比如48-A4-72-1C-8F-4F
ARP协议的功能:将IP地址映射为MAC地址,维护IP地址到MAC地址的映射关系的缓存,实现网段内重复IP地址的检测
ARP的工作原理:
ARP缓存中存放着IP地址到MAC地址的映射,在有效期(缺省180s)内,如果缓存中有目标IP地址对应的MAC地址,那么就可以直接封装为MAC帧发送出去;如果不在缓存中,那么会使用ARP寻找目标IP的MAC地址。如果目标设备位于其他网络中,那么源设备会在缓存表中寻找目标IP的网关地址,将数据转发给网关,再由网关转发给设备
物理层
物理层的PDU叫做比特流
介绍一下常见的传输介质
| 双绞线 | 以太网中最常见的传输介质 | 按照抗干扰能力可以分为:STP屏蔽双绞线,UTP非屏蔽双绞线 |
| 光纤传输 | 按照功能可以分为:光纤、光模块 | |
| 串口电缆 | 在广域网WAN中广泛使用, | 根据WAN线路类型不同,串口电缆在设备上连接的接口类型不同:异/同步串口、ATM接口、POS接口、CE1/PRI接口 |
| 电磁波 | 无线路由器将数据调制后以电磁波的形式转发出去,移动终端的无线网卡收到信号后将电磁波解调即可 |
华为VRP系统
VRP概述
以IP业务为核心,采用组件化的体系结构
VRP提供的功能:
| 统一的用户界面与管理界面 |
| 屏蔽产品链路层对于网络层的差异 |
| 实现控制平面功能,并定义转发平面接口规范 |
| 实现各产品转发平面与VRP控制平面之间的交互 |
文件系统
| 系统软件 | 设备启动,运行必备的软件,为整个设备提供支撑功能。常见文件后缀名为.cc |
| 配置文件 | 用户将配置命令保存的文件,允许设备以指定的配置启动生效,常见后缀名为.cfg、.zip、.dat |
| 补丁文件 | 与设备系统软件兼容的软件,用于解决设备系统软件少量且急需解决的问题,常见后缀为.pat |
| PAF文件 | 根据用户对产品的需要提供了一个简单有效的方式剪裁产品的资源占用和功能特性,常见文件后缀为.bin |
文件的管理方式包括:
通过console或者telnet等直接登录系统管理
通过FTP、TFTP、或SFTP登录设备进行管理
存储设备
| SDRAM | 系统运行内存,相当于电脑内存 |
| Flash | 非易失存储器,主要存放系统软件,配置文件等;补丁文件与PAF文件由维护人员上传到Flash或SD Card中 |
| NVRAM | 非易失随机读写存储器,存储日志缓存文件 |
| SD Card | 断电后不会丢失数据。存放系统文件,配置文件,日志等 |
| USB | 用于传输数据 |
设备初始化过程
设备上电后首先会运行BootROM程序,初始化硬件并显示硬件参数,然后运行系统软件,按照系统默认存储路径读取配置文件完成初始化操作
BootROM程序是固化到ROM芯片中的程序,保存设备最重要的基本输入输出的程序,系统设置信息,开机后自检程序和系统自动程序
设备管理
用户对设备常见的管理方式分为命令行方式和WEB网关模式
| 命令行方式(本地登录与远程登录) | 可以通过console、Telnet、SSH等方式登录设备 |
| WEB网管模式 | 通过HTTP或HTTPS登录设备,只能对部分设备进行管理 |
VRP用户界面
设备系统支持的用户界面有Console用户界面和虚拟类型终端VTY用户界面
| console用户界面 | 用户终端的串行口可以与设备Console口直接相连 |
| 虚拟类型终端VTY | 用户通过终端与设备建立Telnet或STelnet连接后,即建立了一条VTY通道,通过VTY通道对设备的远程访问 |
VRP用户级别
| 用户等级 | 命令等级 | 名称 | 说明 |
| 0 | 0 | 参观级 | 可以使用网络诊断命令(ping/tracert),Telnet命令,部分display命令 |
| 1 | 0/1 | 监控级 | 用于系统维护,可使用display命令· |
| 2 | 0/1/2 | 配置级 | 可使用业务配置命令,包括路由、各个网络层次的命令 |
| 3-15 | 0/1/2/3 | 管理级 | 可使用用于系统基本运行的命令的,FTP,TFTP下载,以及业务故障debugging命令等 |
命令行方式-本地登录
用户第一次使用的时候,需要使用console配置。然后在本地使用PuTTY软件对本地软件进行配置。需要注意的是,如果采用的是console配置,那么PuTTY中选择线缆方式应为“Serial”连接方式,设置速率为9600
命令行方式-远程登录
设备第一次使用不采用远程登录,如果采用SSH登录,IP地址端口号缺省为22;如果是Telnet登录,IP地址端口号缺省为23;需要注意的是,设备默认不开启SSH登录功能,需要在Console登录后配置SSH参数后,才能SSH登录
命令行基础
命令行视图
命令行快捷键
Ctrl+G/L/O/U是自定义快捷键
Ctrl + A 移动到当前行开头
Ctrl + B 向左移动一个字符
Ctrl + C 停止运行
Ctrl + E 光标移动到当前行的末尾
Ctrl + X 删除光标左侧所有字符
Ctrl + Y 删除光标所在位置以及右侧所有字符
Ctrl + Z 返回到用户视图
Ctrl + ] 终止当前连接
基本配置命令
| pwd | 查看当前目录 |
| dir | 显示当前目录下的文件信息 |
| more | 查看文本文件的具体内容 |
| cd | 修改用户当前界面的工作目录 |
| mkdir | 创建新的目录 |
| rmdir | 删除目录 |
| copy | 复制文件 |
| move | 移动文件 |
| rename | 重命名文件 |
| reset recycle-bin | 彻底删除回收站的文件 |
| delete | 删除文件 |
| undelete | 恢复删除的文件 |
| sysname name | 配置设备信息 |
| clock timezone time-zone-name { add|minus } offset clock datetime [utc] HH:MM:SS YYY-MM-DD clock daylight-saving-time |
对本地时区信息进行设置 设置设备当前或UTC日期 设置夏令时 |
| display current-configuration | 查看当前运行的配置文件 |
| display saved-configuration | 查看已保存的配置文件 |
| undo shut-down | 打开一个端口 |
| reset saved-configuration | 清除已保存的配置 |
| disaplay startup | 查看系统启动配置参数 |
| startup saved-configuration [filename] | 设置文件下次系统启动时自动启动 |
| user-interface vty 0 4 set authentication password cipher [密码] |
设置用户通过Password方式登录设备 |
| idle-timeout [限制时间] | 设置用户界面断开连接的超时时间 |
| display startup | 显示开机时的信息 |
| user-interface vty 0 4 authentication-mode password user privilege level 1 |
设置用户的登录密码和权限级别 |
需要注意的是华为网络设备支持1个用户同时使用Console口登录,因此Console用户编号固定为0
目前大多数华为数通产品使用的是VRP5版本,少数产品使用的是VRP8版本
VRP5只有运行配置库和启动配置库,配置命令后直接生效无需提交;VRP8配置后需要提交才能生效
案例
配置IP地址
配置用户登录级别
网络层协议及IP编址
五类地址
| A | 0.0.0.0-127.255.255.255 |
| B | 128.0.0.0-191.255.255.255 |
| C | 192.0.0.0-223.255.255.255 |
| D | 组播IP地址 |
私网IP地址
私有地址是指内部网络或主机地址,这些地址只能用于内部网络,不能用于公共网络
私网与Internet的互联,必须使用网络地址转换协议(NAT)实现
| A | 10.0.0.0~10.255.255.255 |
| B | 172.16.0.0~172.31.255.255 |
| C | 192.168.0.0~192.168.255.255 |
几类特殊的地址
| 0.0.0.0 | 当一个主机接口在启动的时候没有获取自己的IP地址,会向网络发送目的IP地址为有限广播地址、源IP地址为0.0.0.0的DHCP报文请求,以期DHCP服务器收到自己的请求后能够分配一个可用的IP地址 |
| 255.255.255.255 | 有限广播地址,需要注意的是,路由器收到有限广播地址的IP报文后,会停止对该报文进行转发 |
| 127.0.0.0/8 | 环回地址,测试设备自身的软件;环回地址的IP报文不会离开本机 |
| 169.254.0.0/16 | 主机获取IP地址的方式为自动获取时,但是没有DHCP服务器能为之服务,则会使用该网段中的某个地址进行通信 |
ICMP协议
ICMP协议是用在网络设备间传递各种差错和控制信息,有收集网络信息,诊断和排除网络故障的作用
ICMP重定向:在特定情况下,当机器检测到使用非最佳路由的时候,则会向主机发送一个ICMP重定向报文,请求主机改变路由
报文格式
其中消息的格式取决于“类型”与“代码”,另外在数据部分中还有32bit的可变参数,一般不使用设置为0;但是在ICMP重定向的时候,该字段用来指向网关IP地址
ICMP重定向的过程
| 主机A想要发送报文到服务器A,于是将数据发送到默认网关RTB |
| 默认网关检测报文信息,发现报文应该转发到与源主机在同一网段的另一个网关设备RTA。于是RTB会向主机发送一个Redirect消息,通知主机直接向另一个网关RTA发送信息 |
| 主机收到Redirect消息后,会向RTA发送报文,然后RTA将报文转发给服务器 |
ICMP差错控制
ICMP Echo用于诊断源和目的地之间的网络连通性,典型应用如ping
ICMP错误报告
当主机无法到达目的网络时,会自动发送目的不可达报文给发送方主机,典型应用如tracert
tracert会基于报文头中的TTL值逐跳跟踪报文的转发路径,是检测网络丢包和时延的有效手段,同时可以帮助管理员发现网络中的路由环路
利用tracert可以计算往返时间,如下所示
IP地址的配置
物理接口的IP地址配置
逻辑接口的配置
LoopBack接口:当用户需要一个接口状态始终UP的接口的IP地址,可以选择LoopBack接口的IP地址;需要注意的是:
| LoopBack接口一旦被创建,物理状态和链路协议状态永远是UP,即使没有配置IP地址 |
| LoopBack接口配置IP地址后就可以对外发布 |
| 出接口是本地LoopBack接口的报文,但目的地址不是本地IP地址,设备会直接丢弃 |
| LoopBack接口不能封装任何链路层协议,数据链路层也就不存在协商问题,其协议状态永远都是UP |
IP地址规划参考原则
唯一性、连续性、扩展性、结构性
以太网交换基础
需要掌握的是两种以太帧、MAC地址的类型、三种以太网帧怎么区分、交换机的地址表的学习过程、基于接口的划分与基于MAC地址的划分
以太网协议
以太网是建立在CSMA/CD机制上的广播型网络
以太网帧结构
Ethernet Ⅱ以太帧
| DMAC | 目的MAC地址 |
| SMAC | 源MAC地址 |
| Type | 0x0800:IPV4
0x0806:ARP |
IEEE 802.3 LLC以太帧
| LLC=DSAP+SSAP+ctrl | DSAP,目的访问点
SSAP,源服务访问点 表示无连接服务的IEEE802.2的无编号数据格式 |
| SNAP=Org Code+Type | Org Code,机构代码
Type,类型 |
数据帧的长度为64-1518字节,帧的Data域应该至少有46字节,如果不够还需要填充;其次需要注意的是最大传输单元MTU为1500个字节
MAC地址构成及其分类
首先以太网卡制造商生产网卡时,需要向IEEE注册获得一个3字节(24位)的厂商代码,OUI
后面的24位由厂商自由分配
| 单播MAC地址(物理MAC地址) | 标识了以太网上的一个终端,全球唯一。并且可以作为源/目的地址;作为目标MAC地址时,发向单一的结点; |
| 广播MAC地址 | |
| 组播MAC地址 | 第7bit为1的MAC地址(比如01-00- 00-00-00-00),用来代表局域网上的一组终端;不能作为源MAC地址,只能作为目的地址;作为目的地址时发往一组节点 |
单播以太网帧
MAC地址的OUI的第一个字节的第8bit表示地址类型的,当为0时,表示这是一个单播地址
广播以太网帧
MAC地址全为1,广播方式产生大量流量,带宽利用率降低
组播以太网帧
OUI的第一个字节的第8bit为1时,表示这是一个组播以太网帧
以太网交换机
二层交换设备通过学习以太网帧的源MAC地址来维护源MAC地址与接口的对应关系
二层交换机的转发原理
| 收到以太网帧,将目的MAC地址与地址表中进行比较,如果匹配成功则从对应的端口转发出去;如果地址表中没有相应的MAC地址,则使用泛洪方式在除接收接口外的所有接口发送该报文 |
交换机对数据帧的处理行为:转发,洪泛,丢弃
交换机的MAC地址表学习过程:
| 地址表初始化为空 |
| 当主机1将目标主机的MAC地址打包为以太网帧发送给交换机时,交换机查表后,会将该帧视为“未知单播帧”,然后回将以太网帧的源MAC地址与端口学习到自己的表中;并且交换机会广播该帧 |
| 该局域网中的所有主机都会收到这个帧,不够除了主机2都会丢弃。主机2发送响应帧到交换机 |
| 交换机收到帧后,查表发现有主机1的MAC地址,此时从对应的端口转发出去;将主机2的MAC地址与对应的端口学习到表中 |
演示
初始化时,主机PC3中还没有使用ARP协议解析主机PC4的MAC地址,并且交换机的地址表也为空;
此时我们配置好PC3和PC4的IP地址,在PC3发送ping包,观察到此时PC3的ARP缓存表中已经有了PC4的MAC地址;并且因为ping包属于ICMP报文,有来有回。所以在交换机中也存在了PC2的MAC地址与端口的对应关系、PC3的MAC地址与端口的对应关系
另外需要注意的是ARP与RARP的区别,ARP是请求目的IP地址对应的MAC地址,RARP是请求自己IP地址对应的MAC地址;ARP的响应来自目标主机,RARP的主机来自网关
VLAN原理及配置
VLAN数据帧格式、三种接口接收转发数据时的处理方式、ACCESS与TRUNK模式的应用、
IEEE802.1Q中规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag
VLAN数据帧的结构
| TPID | 标识数据帧的类型,0x8100表示802.1Q数据帧 |
| PRI | 标识帧的优先级,主要用于QoS,取值为0-7 |
| CFI | 表示MAC地址在不同的传输介质中是否按照标准格式封装,0表示按照标准格式封装,1表示按照非标准格式封装,以太网中为0 |
| VLAN ID | 取值范围1-4094,0和4095为协议保留取值 |
如何识别VLAN标签的数据帧
数据帧的长度/Type=0x8100
VLAN的划分方法
划分VLAN后,位于同一VLAN的主机能直接二层通信,位于不同VLAN的主机不能通信
| 基于接口划分 | 给交换机的接口划分到不同的VLAN中,当数据帧经过接口时会打上标签 | 缺省VLAN ID为1,端口改变则PVID也会改变 |
| 基于MAC地址划分 | 网管事先配置MAC地址与VLAN ID的映射关系,数据帧会根据该表打上标签 | 安全性不高,MAC地址容易被伪造 |
| 基于IP子网划分 | 数据帧根据数据帧的源IP地址与子网掩码划分VLAN | |
| 基于协议划分 | 根据数据帧的协议类型与封装格格式来划分VLAN | |
| 基于策略划分 | 实现多组合的划分策略,包括IP地址,MAC地址,接口等 |
需要注意的是:Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机,服务器等),也可以用于连接交换机,路由器等等
ACCESS接口只允许VLAN ID和PVID相同的数据帧通过;
ACCESS接口收到一个Untagged帧,会将VID打上PVID的标签;当收到一个Tagged帧,检查VID是否与PVID相同,如果不同直接丢弃;
ACCESS接口转发一个数据帧,会检查VID是否与PVID相同,如果相同会将Tag标签位剥脱,然后将UnTagged帧转发出去;如果VID与PVID不同,那么会直接丢弃
Trunk接口收到一个UnTagged帧,会将其打上PVID,然后检查该PVID是否属于允许通过的VLAN列表中;如果不在则直接丢弃
Trunk接口转发一个数据帧,检查帧的VID是否在允许通过的VLAN列表中,如果不在则直接转发出去;如果在就会剥离Tag位,再从该接口转发出去
Hybrid接口收到一个UnTagged帧,会将其打上PVID,然后检查该PVID是否属于允许通过的VLAN列表或UnTagged中;如果不在会直接丢弃
Hybrid接口转发一个Tagged或UnTagged数据帧时,根据管理员命令决定发送时是否携带Tag,如果允许携带就保留该帧的Tag然后发送出去;如果不允许那么会直接剥离然后从该接口发送出去
与Trunk接口不同的是能够支持多个VLAN的数据帧,不带标签通过
三种端口应用场景
| 接收数据时 | 当接受到不带标签的数据帧,ACCESS、TRUNK和Hybrid模式都会给它打上PVID的标签;但是TRUNK和Hybrid接口会根据VID是否属于允许通过的VLAN来选择是否接收,ACCESS模式则是无条件接收
当收到带VID标签的数据帧,ACCESS/TRUNK和Hybrid模式都会检查是否属于允许通过的VLAN |
| 发送数据时 | ACCESS模式会直接剥离Tag标签
TRUNK模式会根据VID是否属于允许通过的VLAN来判断是否剥离 Hybrid根据管理员命令参数选择是否剥离 |
| ACCESS模式发送出去的数据肯定不带Tag标签;TRUNK模式发送出去的数据只有一个VLAN数据帧不带标签,其他的数据帧都带标签;Hybrid模式发送出去的数据有些带标签,有些不带标签,根据管理员的命令参数 | |
VLAN的配置实例
| vlan [vlan-id] | 创建VLAN |
| vlan batch [vlan-id1] to [vlan-id2] | 批量创建VLAN |
| port link-type [access/trunk/hybrid] | 配置接口类型 |
| port defaut vlan [vlan-id] | 配置ACCESS模式接口的缺省VLAN ID |
| port trunk allow-pass vlan [vlan-id1] to [vlan -d2] | 配置TRUNK模式下允许通过的VLAN |
| port trunk pvid vlan [vlan-id] | 配置TRUNK模式接口的缺省VLAN ID |
| port hybrid untagged vlan [vlan-id1] to [vlan-id2] port hybrid tagged vlan [vlan-id1] to [vlan-id2] |
配置Hybrid模式下允许通过的VLAN |
| port hybrid pvid vlan [vlan-id] | 配置hybrid模式的缺省VLAN ID |
| mac-vlan mac-address [mac-address] | 配置MAC地址与VLAN关联 |
| mac-vlan enable | 使能MAC地址与VLAN |
| display mac-vlan mac-address all | 查看所有MAC地址划分VLAN的配置 |
基于接口划分VLAN—— Hybrid模式配置
SW1的配置-Gi 0/0/1的配置
SW1的配置-Gi 0/0/2的配置
SW1的配置-Gi 0/0/3的配置
SW2的配置-Gi 0/0/3的配置
SW2的配置-Gi 0/0/1的配置
结果展示,PC1(10.0.0.1)能够ping通服务器(10.0.0.3),PC2(10.0.0.2)能够ping通服务器,但是PC1与PC2之间不能互相ping
基于MAC地址划分VLAN
生成树
二层环路带来的问题、STP(RSTP、MSTP)的特点,STP配置过程、几大STP接口状态、拓扑结构发生变化的处理过程、RSTP的几种接口状态与角色以及P/A过程、
二层环路带来的问题有:广播风暴、MAC地址漂移
生成树协议产生的原因是因为网络为了增加可靠性会采用增加备用链路的策略,这种策略带来的后果是会产生广播风暴和MAC地址漂移,为了增加网络的可靠性与稳定性,使用生成树协议能够选择性地将某些端口关闭,使环形网络修剪成无环路的树形网络
所谓MAC地址漂移,交换机收到一个广播帧,学习并洪泛,在不久后,该交换机的另一个端口又收到该广播帧,于是又把该广播帧学习并洪泛。但是后来原来的端口又收到广播帧,于是又学习并洪泛。于是MAC地址在两个不同的端口来回变换,叫做MAC地址漂移
防环协议:生成树协议、堆叠、链路聚合......
二层环路
- 常见根因:网络中部署了二层冗余环境,需要借助特定的协议或机制实现防环
三层环路
- 常见根因:路由环路,但是IP报文中的TTL字段可以防止报文被无休止地转发
桥ID
BID桥ID是由高16bit的桥优先级和低48bit的桥MAC地址组成,BID最小的设备会被选为根桥
Cost
每一个激活了STP的接口都维护着一个Cost值,接口的Cost值就是到达根的开销
接口带宽越大,Cost值越小
RPC
RPC是根路径开销,即交换机的某个接口到根桥的“成本”
计算规则:从根桥到该设备沿途所有入方向的Cost累加
根桥的根路径开销是0;非根桥通过比较多条路径的路径开销,选出达到根桥的最短路径
Port ID
接口ID由两部分组成,接口优先级(高4bit)和接口编号(低12bit)
激活STP的接口会维护缺省的接口优先级,华为交换机上缺省值为128,端口优先级的取值必须是16的整数倍
BPDU
网桥协议数据单元,是STP正常工作的根本,是STP的协议报文;可以分为两种类型:配置BPDU和TCN BPDU
在初始化过程每个桥都会主动发送配置BPDU,在网络拓扑稳定后只有根桥才会发送配置BPDU,其他交换机在收到上游传来的配置BPDU后才会发送自己的配置BPDU。交换机在收到配置BPDU后从自己的DP端口转发出去
TCN BPDU是下游交换机感受到拓扑结构改变向上游发送得到拓扑变化通知,只有在网络拓扑结构发生变化时才会被触发
配置STP过程
| 选举根桥 |
| 在非根桥交换机中选举根接口 |
| 在根桥中选举指定端口 |
| 限制预备端口 |
首先需要知道配置BPDU的四个原则
| 根桥ID,Root ID |
| 根路径开销RPC |
| 网桥ID,BID,指的是发送桥ID(16bit优先级+48bitMAC地址) |
| 接口ID,Port ID |
- 选举根桥。在交换网络刚启动的时候,每个交换机都会发送配置BPDU,里面包含自己的桥ID.STP协议会选出一个最小的桥ID交换机作为根桥,选举规则是比较优先级,若优先级相同则比较交换机的MAC地址
- 在非根桥交换机中选举一个根接口。在选举出根桥后,根桥会持续发出BPDU,于是非根桥收到BPDU后会选举出一个离根桥最近的根接口;首先会比较根路径开销RPC,如果RPC相同则比较上行交换机的BID,如果BID相同那么比较上行交换机的PID(PID同样是由优先级和端口编号组成,先比较优先级再比较端口编号),如果上行交换机的PID相同那么比较自己主机的PID。上述各值都取较小值
- 每条链路上选举一个指定接口。首先会比较两条链路的RPC,如果RPC相同则比较对方交换机的BID,若BID相同,那么会比较链路两端端口的PID。根桥中所有的端口都是指定接口,各值均取较小值作为优先值
- 选择指派接口,一台交换机上既不是根接口也不是指定接口,就是指派接口,将指派接口阻塞。至此,STP网络结构建立完成
练习
另外需要注意的是,在网络中集线器并不运行STP协议,所以集线器的所有端口并不充当任何角色,但是其他终端与集线器相连的端口会且仅会选择一个指定端口DP,如下图所示
大环套小环问题
| 首先确定根桥 |
| 确定根端口,SW3(GE 0/0/1) SW4(GE 0/0/2) SW2(GE 0/0/2) SW5(GE 0/0/1) SW6(GE 0/0/1) |
| 确定指定端口,SW1(GE 0/0/1、GE 0/0/2) SW3(GE 0/0/2) SW2(GE 0/0/1、GE 0/0/3、GE 0/0/4) |
| 确定指派端口,SW4(GE 0/0/1、GE 0/0/3) |
·
STP的接口状态
| 禁用 | 接口不能转发BPDU,也不能手法业务数据帧 |
| 阻塞 | 不能发送BPDU,不能收发业务数据帧,但是会持续侦听BPDU,也不会进行MAC地址学习 |
| 侦听 | 表名STP初步认为该接口是根接口或指定接口,但接口一谈处于STP计算过程。可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习 |
| 学习 | 会侦听但是不会转发业务数据帧,并且在收到业务数据帧后进行MAC地址学习 |
| 转发 | 能够正常收发业务数据帧,也能进行BPDU处理,接口需要是根接口或指定接口才能进入转发状态 |
大环套小环问题
接口状态迁移
拓扑变化——根桥故障
在稳定的STP网络中,非根桥会定期收到来自根桥的BPDU报文,如果根桥发生了故障会停止发送BPDU报文,下游交换机一直收不到BPDU报文,Max Age计时器(缺省20s)就会超时;此时非根桥之间会互相发送配置BPDU,重新选举根桥
根桥故障大概需要50s的恢复时间,等于计时器超时时间(20s)和两倍Forward Delay时间1qaz(30s)需要注意的是,备用端口要转换到转发态需要时间为2倍Forward Delay时间(30s)
注意:设置转换时间(Forward Delay时间)的目的是为了防止产生临时环路
根桥故障后,SW3的A端口会从阻塞态转换到侦听态,然后到学习态,再到转发态
拓扑变化——直连链路故障
当网络稳定时,交换机检测到根端口的链路发生故障,其备用端口会进入到流量转发状态;耗时2倍Forward Delay时间(30s)
SW2检测到根端口链路发生故障,备用接口A经过30s后转换成为根端口
拓扑结构变化——非直连链路故障
非直连链路故障会导致50s左右的恢复时间,等于Max Age计时器超时时间(20s)与2倍Forward Delay时间(30s)
SW3的预备端口会用50s的恢复时间,等待计时器超时,并从阻塞态转换为转发态
拓扑改变导致MAC地址表改变
当生成树结构发生改变时,因为MAC地址表的老化时间为300s,MAC地址表中未能及时老化掉的表项会导致数据转发出错
解决的办法是:根桥通过TCN BPDU报文获知生成树拓扑中发生了故障。根桥生成TC用来通知其他交换机加速老化现有的MAC地址表项
拓扑变化及MAC地址表项的更新
拓扑变化会使用配置BPDU报文中Flags的TCA位与TC位
| 首先SW3的根端口感应到网络拓扑变化后,会向SW2发送TCN BPDU报文 |
| SW2收到SW3的TCN BPDU报文后,将配置BPDU报文中的FLAGS的TCA设置为1,转发给SW3,告知SW3不再发送TCN BPDU报文给SW2 |
| SW2发送TCN BPDU报文给根桥,根桥收到报文后,将配置BPDU报文中的TC位设置为1转发给SW2(实际上是全网转发,持续发送35s).告知下游的交换机加速更新MAC地址表的表项,将表项的老化时间由300s转换为一个Forward Delay时间(15s) |
| 等待最多15s后,SW2清除了MAC地址表项,能开始MAC地址学习与转发操作 |
STP的基础配置
| stp mode [stp/rstp/mstp] | 配置(stp/rstp/mstp)生成树模式 |
| stp root primary | 配置当前设备位根桥 |
| stp root secondary | 配置当前交换机位备份网桥 |
| stp priority [priority] | 配置当前交换机的优先级 |
| stp pathcost-standard | 配置接口路径开销 |
| stp cost [cost] | 配置当前路径的开销 |
| stp priority [priority] | 配置接口的优先级 |
| stp enable | 启用stp/rstp/mstp |
STP的不足
网络通信收敛慢,影响用户通信质量
没有细分接口状态与接口角色
是被动的算法,依赖定时器等待的方式判断拓扑变化
根桥发出配置BPDU报文,其他设备进行处理,传遍整个STP网络,这是导致收敛慢的原因
RSTP概述
网络通信收敛快
MSTP概述
能够计算多生成树
堆叠与园区网络树形结构组网形态
两台交换机分别与接入层交换机构成了三角形的二层环路,此时如果部署STP,那么STP会阻塞网络的接口,造成链路带宽无法充分利用
如果采用堆叠,就能形成逻辑意义上的单台设备从而简化网络拓扑,从而提高链路带宽资源利用率
堆叠:将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组成一台整体交换设备
Smart Link
一种为上行组网定制的方案,在双向行的设备上部署,当网络正常的时候,两条上行链路中,一条处于活跃状态,而另一条就处于备份状态,因此二层环路就被破坏
因为SW3到达FW1和FW2有两条上行链路,那么可以让port2端口所在链路作为Port1端口所在链路
链路聚合、堆叠、集群
网络的可靠性,是指出现单点或多点故障的时候能够保证网络服务不间断的能力
网络的可靠性可以通过,单板,设备和链路实现
单板的可靠性
主控板:实现整个系统的控制平面
交换网板:负责整个系统的数据平面,能够提供无阻塞数据通道
线路板:线路逻辑单元是物理设备上能够提供数据转发功能的模块
单块主控板故障不会影响设备控制平台的正常运行,部分交换网版出现故障也不会影响控制平面的正常运行,线路板发生故障那么该板块上的接口会发生故障
链路聚合技术
将多个物理接口捆绑成为一个逻辑接口,达到增加链路带宽的作用
成员接口与成员链路:组成以太网链路聚合的端口,叫做成员接口,成员接口对应的链路叫做成员链路
活动接口与活动链路:活动接口又被成为选中接口,是参与数据转发的成员接口,活动接口对应的链路叫做活动链路
非活动接口与非活动链路:非活动接口又被称为非选中接口,是不参与数据转发的成员接口
聚合模式:根据是否开启链路控制协议LACP,可以分为手工模式与LACP模式
一个聚合组中要求成员接口以下的参数相同:接口速率,双工模式,VLAN配置(如果是ACCESS模式那么设置的default vlan应该相同,如果是trunk模式,设置允许通过的VLAN应该相同)
手工模式
成员接口的创建均由手工配置,双方系统不需要使用LACP进行协商,当聚合设备的两端只要有一个不能使用LACP协议那么就可以使用手工模式
正常情况下所有链路都是活动链路,都参与数据的转发平均分配流量
手工模式下的缺陷
为了使链路聚合接口正常工作,必须保证本端所有链路聚合接口中的所有成员接口的对端接口属于同一设备,加入同一链路聚合接口
在手工模式下,设备之间没有报文交互
手工模式下只能通过物理层状态判断对端接口是否正常工作
LACP模式
是一种通过链路控制协议数据单元(LACPDU)进行交互,通过协议确保对端是同一台设备,同一个聚合接口的成员接口
LACPDU包含的内容(不仅限于下列)
| 设备优先级 |
| MAC地址 |
| 接口优先级 |
| 接口号 |
在LACP模式下,两端设备选择的活动接口数目必须保持一致,否则链路聚合组就无法建立,此时可以使其中一端成为主动端,另一端(被动端)根据主动端选择活动接口
通过系统LACP优先级确定主动端,值越小优先级就越高
系统LACP优先级默认32768,越小越优,通常保持默认。当优先级一致时,LACP会通过比较MAC地址选择主动端,MAC地址越小越优
选出主动端后,两端都会以主动端的接口优先级来选择活动接口,优先级高的接口优先被选为活动接口。接口LACP优先级值越小,优先级越高;当接口优先级一致的时候,会比较接口编号,越小越优
在LACP模式下,当成员接口数目大于最大活动接口数,会通过比较接口优先级、接口编号选择出活动接口,而其他的成员接口成为备用接口,对应的链路成为活动链路与非活动链路;当活动链路出现故障,会从非活动链路中选出一条优先级最高的作为活动链路,以保证带宽保证不变
LACPDU中有三个flags来标识端口的状态,如果是活跃端口,以下的三个flags的值将会是1;如果是非活跃端口,三个flags的值将会是0
| Synchronization |
| Collection |
| Distributing |
负载分担
基于包的负载分担,数据帧在不同的链路上转发,会导致数据帧到达对端的时间不一致,从而引发数据乱序;基于流的负载分担,一条相同的流负载到一条链路,不会发生报文乱序
Eth-trunk可以基于报文的IP地址或MAC地址来负载分担,常见的模式有
| 源IP地址 |
| 源MAC地址 |
| 目的IP地址 |
| 目的MAC地址 |
| 源目IP |
| 源目MAC |
业务流量中某种参数变化越频繁,选择与此参数相关的负载分担方式就越实现负载均衡;比如报文的IP地址经常发生改变,那么选择基于源IP,目的IP,源目IP的负载分担方式更能较好地实现负载均衡
典型使用场景
交换机与交换机之间
交换机与服务器之间
将两台交换机堆叠成为一台逻辑设备
防火墙双机热备心跳线,防火墙双机热备组网使用心跳线检测对端设备的状态,来防止单端口,单链路故障导致的状态检测错误
配置命令
| interface eth-trunk [trunk-id] | 创建Eth-Trunk接口,并进入接口视图 |
| mode [lacp/manual load-balance] | 配置链路聚合模式 |
| eth-trunk trunk-id | 将接口加入到链路聚合组 |
| mixed-rate link enable | 使能允许不同速率端口加入同一Eth-Trunk借口的功能 |
| lacp priority [priority] | 配置系统LACP优先级或接口优先级 |
| max active-linknumber [number] | 配置最大活动接口数(仅适用于LACP模式) |
| least active-linknumber [number] | 配置最小接口活动数,当前活动链路数目小于下限阈值时,Eth-Trunk接口状态改为Down |
配置案例
配置步骤,搭建好拓扑图后配置PC1-PC4的IP地址,然后在交换机SW1中创建VLAN 10 和VLAN 20,将Gi 0/0/1和Gi 0/0/2分别划入VLAN 10 和 VLAN 20中,然后创建Eth-Trunk模式 ,设置模式为LACP,将Gi 0/0/3-Gi 0/0/5划入到链路聚合组,设置最大链路活动数目为2,然后将链路聚合组设置为Trunk模式,同时设置允许通过的VLAN
在交换机SW2中,创建VLAN 10 和VLAN 20,同时将对应的端口划入到相应的VLAN中,然后创建链路聚合组Eth-Trunk,并设置模式为LACP,设置最大活动链路为2,将端口Gi 0/0/3-Gi 0/0/5划入到链路聚合组,同时设置链路聚合组为Trunk模式,并设置允许通过的VLAN,然后设置系统优先级为30000,让其为主动端
堆叠与集群
堆叠iStack是指把多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上变成一台交换设备,以一个整体进行数据转发
集群CSS是指将两台支持集群特性得到交换机设备组合在一起,从逻辑上组合成一台交换设备
集群只支持两台设备,一般框式交换机支持CSS,盒式设备支持iStack
堆叠、集群的优势
堆叠交换机对外是一台逻辑设备,便于管理;跨物理设备的链路被聚合成Eth-Trunk,物理上无环,无需部署STP;
实际应用
堆叠应用
| 扩展端口 | 当接入的用户数目大于交换机提供的端口数目,可以增加交换机与原堆叠交换机重堆叠 |
| 扩展带宽。冗余备份 | 当与上层三层设备进行交互的流量不能满足实际要求时,提高交换机的上行带宽,同时形成设备的备份与跨链路备份 |
集群应用
两台设备形成集群,就不需要使用MSTP,VRRP等协议,实现了快速收敛,增加了可靠性
推荐架构
在核心层使用CSS集群技术,在汇聚层与接口层使用堆叠技术。同时上下行都使用Eth-Trunk技术
实现VLAN间通信
常见的三层设备:路由器、三层交换机,防火墙
路由器物理接口实现VLAN间通信
VLAN之间要实现通信需要依靠三层设备,但是路由器三层接口无法处理携带VLAN Tag的数据帧,因此需要将VLAN Tag剥掉,称为VLAN终结
路由器子接口实现VLAN间通信
子接口配置
三层交换机与VLANIF接口
三层交换机除了具备二层交换机的功能,还支持提供三层接口的功能实现路由转发;VLANIF接口就是一种逻辑接口,实现对VLAN Tag的剥离与添加
VLANIF转发流程
PC1发送数据包到PC2
| 首先根据本地IP地址,掩码,目的IP地址发现目的主机不在同一网段内,因此是三层通信 |
| PC1将数据包发送给网关,交换机收到报文后,经解封发现是来自VLAN10的数据报文,交由三层路由;根据表项比对目的MAC地址,发现是VLAN20对应的直连路由 |
| 交换机根据ARP获取VLAN20的IP地址对应的MAC地址,并封装成数据包发送出去 |
NAPT协议:将IP数据报文的IP地址,端口号转换成为另一个IP地址,端口号;NAPT协议允许将多个内部地址转换成为一个公网地址,可以实现一个公网地址支持多个内部地址同时访问外部网络
NAT协议:将一个IP地址转换成另一个IP地址
IP路由基础
三大路由表的生成方式
直连路由
当路由器为路由转发的最后一跳的时候,IP报文匹配直连路由,路由器转发IP报文到目标主机
路由表中各个表项内容
| Destination/Mask 目的网络及掩码 |
| Proto 路由协议类型 |
| Pre 路由协议优先级 |
| Cost 路由开销 |
| NextHop 指向目标网络的下一跳地址 |
| Interface 出接口 |
Pre用于比较不同路由协议之间的优先级,Cost用于比较相同路由协议内部不同路由的优先级
当路由器从不同途径获知到达同一目的网段的路由,路由器会比较这些路由的优先级,优先选取优先级值最小的路由;拥有最高优先级的路由被添加到路由表
常见的路由器优先级
| 直连路由 | 0 | |
| 静态路由 | 60 | |
| 动态路由 | OSPF内部路由 OSPF外部路由 |
10 150 |
度量值
度量值越小,路由越优先被添加到路由表项中
路由度量值作为到达目的地址的代价,常见的路由度量值是跳数,带宽,时延
路由被添加到路由表中优先观察的是优先级,如果优先级相同再观察度量值
最长匹配原则
当路由器收到一个IP数据包时,会将数据包的目的IP地址与自己本地路由表中的所有路由表项进行逐位比较。直到找到匹配度最长的条目
静态路由配置
| ip route-static [ip-address/mask] nexthop-addree | 关联下一跳 |
| ip route-static [ip-address/mask] [interface-type] [interface-num] | 关联下一跳的出口方式 |
缺省路由
缺省路由一般用于企业网络出口,配置一条缺省路由让出口设备能够转发前往Internet上任意地址的报文
静态路由的缺点就是无法适应网络结构的变化,需要人工干预
动态路由协议的出现就是为了能够适应网络结构的变换
动态路由分类
| 按照工作区域分类 | 内部网关协议 IGP,包括RIP,OSPF,IS-IS 外部网关协议 EGP,包括EGP |
| 按照工作机制和算法分类 | 距离矢量算法 RIP 链路状态协议 OSPF IS-IS |
等价路由
来源相同、开销相同的路由都会被加入到路由表,形成的路由叫做等价路由。当路由表中存在等价路由后,所有去往相同网段的报文都会从等价路由中发送出去,这种转发行为就是负载分担
浮动路由
浮动路由作为主用路由的备份,保证链路故障时提供备份路由。主用路由下一跳可达时该备份路由不会出现在路由表中;类似于划分的STP中的指派端口,主用路由出故障时才分担报文转发。配置浮动路由设置Preference,并且需要Preference的值大于主用路由
路由汇总
路由汇总出现的原因是为了减少路由条目,避免维护臃肿的路由项目
路由汇总将具有相同前缀的路由汇聚成一条路由,从而达到减少路由表规模以及优化设备资源利用率的目的;路由汇总采用了CIDR的思想,将相同前缀的地址聚合成一个
路由汇总计算的关键在于将目的网络地址转换成二进制,然后排列起来,找出目的网络中的相同网络比特位
路由汇总引发的问题
环路问题
环路问题的解决方案
Null0接口是一个保留的逻辑接口,如果出接口使用Null0则代表会将这些报文丢弃
ACL配置及原理
ACL概述
ACL是由permit或deny语句组成的一系列有顺序的规则的集合,它通过匹配报文的相关字段来完成对报文的分类
ACL能够匹配一个IP数据包的源目IP地址,协议类型,源目端口
ACL还能用于匹配路由条目
ACL的组成
| ACL编号 |
| 规则 |
| 规则编号 |
| 动作 |
| 匹配项 |
规则编号
一个ACL的每一条规则都有一个编号,步长是相邻规则之间的差值,缺省值是5
如果使用了一个ACL,但是没有指定规则编号,那么系统会分配一个大于最大规则编号且是步长的最小整数倍的数作为规则编号
通配符
通配符占位32比特,用于指定IP地址中哪些比特位需要严格匹配,哪些比特位无需匹配
“0”表示匹配,“1”表示随机分配
比如
| rule 15 permit source 10.1.1.0 0.0.0.255 |
这条规则是:允许10.1.10通过,因为通配符为最后八位,表示最后八位可以随机分配,也就说明匹配的是10.1.1.0/24的网段
再举个例子?怎么匹配192.168.1.0/24这个网段的所有奇数地址?
设置通配符为 0.0.0.254,因为奇数的最后一位需要严格控制,所以最后八位是,11111110
一些特殊的通配符
匹配192.168.1.1这个IP地址 通配符0.0.0.0
匹配所有IP地址 0.0.0.0 255.255.255.255
ACL的分配与标识
基于ACL规则定义的分类
| 基本ACL | 仅使用源IP地址,分片信息,生效时间段信息 | 2000-2999 |
| 高级ACL | 可使用IPV4的源目IP地址,TCP源目端口,UDP源目端口,IP协议类型,ICMP类型 | 3000- |
| 二层ACL | 可使用源目MAC地址。二层协议类型 | 4000- |
| 用户自定义ACL | 报文头,偏移位置,字符串掩码,和用户自定义字符串 | 5000- |
| 用户ACL | IPV4豹纹的源目IP地址,源目UCL组,TCP源目端口,UDP源目端口 | 6000- |
基于ACL标识方法分类
| 数字型ACL | 创建ACL时,用一个数字来标识这个ACL |
| 命名性ACL | 用名称来代替编号 |
基本ACL
高级ACL
ACL的匹配机制
概况就是收到条报文,会将该报文与ACL的规则逐条进行匹配,如果不能匹配就匹配下一条;只要匹配上,就执行ACL中的规则,执行完后不再继续匹配规则·
具体的匹配规则
| 检查设备是否配置了ACL,没有返回不匹配 |
| 检查设备是否配置了ACL规则,没有返回不匹配 |
| 规则存在,从最小的规则编号开始匹配 |
| 匹配上了permit,停止查找规则,返回匹配结果为匹配(允许) 匹配上了deny,停止查找规则,返回匹配结果为匹配(拒绝) 如果未能匹配上一条规则,就匹配下一条,如果一直查到最后一条规则,仍未匹配上,返回不匹配 |
匹配:存在ACL,且在ACL中找到了匹配的规则
不匹配:不存在ACL,ACL中没有规则,ACL中有规则但是都不匹配
ACL的匹配顺序及匹配结果
- 自动排序,系统按照深度优先进行匹配,将规则按照精确度由高到低排序,并且报文按照精确度由高到低匹配
- 配置顺序,是缺省的匹配顺序。按照ACL规则编号进行排序,越小越容易被匹配;后续如果添加新的规则,报文仍然按照从小到大匹配
ACL的匹配位置
在路由器的入接口和出接口配置ACL对应的就是数据流量需要用在入站方向和出站方向
入站方向
根据路由器入接口 是否应用ACL,如果配置了ACL,还需根据ACL规则判断是否允许流量通过,决定了来的报文是否要路由转发还是直接丢弃
出站方向
路由器会根据报文是否有匹配路由项决定是否丢弃还是路由到出接口,如果应用了ACL还需要根据是否允许流量通过判断是否转发
ACL的基础配置
ACL技术通常与防火墙,路由策略,Qos,流量过滤等其他技术结合起来
AAA配置与原理
AAA是认证+授权+计费的简称,并提供这三种功能
认证:验证哪些用户能够获得访问权
授权:授权用户能够使用哪些服务
计费:记录用户使用网络资源的情况
网络运营商需要验证家庭带宽用户的账号密码后才允许其上网,并记录用户的上网时长和上网流量等,这是AAA技术的常见应用场景
AAA常见架构
- 用户
- NAS:负责收集和管理用户的访问请求,在NAS中基于域来管理用户,每个域可以配置不同的AAA方案;每个用户都属于一个域,这取决于用户名中的域名分隔符比如@domain1,用户就属于domain1域。如果没有域名分隔符,用户就在系统缺省域
- AAA服务器
认证
AAA的认证方式有不认证,本地认证,远端认证
| 不认证 | 对用户完全信任 | |
| 本地认证 | 将本地用户信息配置在NAS上,此时NAS就是AAA服务器;优点:处理速度快;缺点:受硬件条件限制。 | 用于登录设备进行管理,如Telnet,FTP用户等 |
| 远端认证 | 将用户信息配置在认证服务器上,支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTCACS服务器进行通信 |
授权
| 不授权 | 不对用户授权 |
| 本地授权 | 根据NAS上对应鱼=域下的配置进行授权 |
| 远端授权 | HWTACACS授权,使用HWTACACS服务器对所有用户授权
RADIUS授权,只支持对通过RADIUS服务器认证的用户授权,RADIUS协议的认证与协议绑定在一起,不能单独使用RADIUS授权 |
使用远端授权可以同时从NAS和授权服务器获取授权信息,只是NAS配置的授权优先级比授权服务器低
计费
| 不计费 | |
| 远端计费 | 通过RADIUS服务器或HTWACACS服务器远端计费 |
AAA实现协议——RADIUS
通常NAS充当客户端,负责传递用户信息到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理
RADIUS服务器用于维护用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后让客户端返回所有信息
RADIUS使用UDP作为传输协议,规定1812,1813作为认证,计费端口;支持重传机制和备用服务器机制
RADIUS客户端与服务器之间的消息流程
客户端接收用户带有用户名和密码的请求认证报文,并将其转发给RADIUS服务器,服务器做完认证后将认证信息返回给NAS,由NAS告知用户认证结果;根据认证结果,NAS决定是否向服务器发送请求计费报文。用户开始访问网络后若请求连接中断,会经由客户端发送计费结束请求报文给服务器,然后服务器返回响应报文,由客户端告知用户计费结束
AAA常见应用场景
通过RADIUS提供上网用户的AAA,在NAS上配置AAA方案,实现NAS与RADIUS服务器的对通,从而验证用户并对其提供上网
对管理员进行本地验证和授权
AAA配置实现
网络地址转换
静态NAT
私有地址与公有地址之间是一对一的关系
动态NAT
为了避免内网主机长时间离线或不发送数据而浪费公网地址,提出地址池,所有的可用公网地址是地址池
动态NAT转换就是在地址池中找到一个Not Use的公网地址,并建立一个临时的私网地址到公网地址的映射,同时将该公网地址设为In Use
NAPT、Easy-IP
NAPT借助端口实现公网地址与私网地址一对多的情况
会在地址池中寻找一个公网IP地址,并建立一个临时的地址映射,私网IP+端口:公网IP+端口
Easy-IP原理与NAPT一样,只是没有地址池的概念,而是用接口地址作为NAT转换的公网地址。适用于不具备固定公网IP的情景,比如DHCP,PPPoE拨号获取地址的私有网络接口。
NAT Server
指定内网地址到公网地址的一一映射关系,将内网服务器映射到公网。当私有网络中的服务器需要对公网提供服务时使用
网络服务与应用
文件传输——FTP
FTP采用C/S架构,客户端与服务器端建立TCP连接后即可获取文件的上传,下载
针对传输的文件类型不同,FTP采用不同的传输方式
- ASCII模式:传输文本文件(TXT,LOG,CFG)时会对文本内容进行编码方式转换,提高传输效率;适用于传输网络设备的配置文件,日志文件
- Binary模式:非文本文件,以二进制直接传输原始文件。适用于传输网络设备的版本文件
FTP传输过程
主动模式PORT
客户端使用随机端口P向服务器端的21号端口发起TCP三次握手,服务器端接受,此时建立了一条控制连接,用于传递控制信息(还没开始传递数据)
然后客户端监听自己的另一个随机端口Q(大于1024),使用PORT命令发送给服务器端,当需要传递数据时,服务器端的20号端口会向Q发起TCP三次握手,建立一个数据传输连接
被动模式PASV
客户端使用一个随机端口P(大于1024)向服务器端21号端口发起TCP三次握手,建立一个控制连接,用于传递控制信息
客户端监听另外一个随机端口Q(大于1024),并使用PASV命令发送给服务器端,服务器选择一个随机端口R(大于1024),并通过Enter PASV命令发送给客户端,当需要传递数据时,由客户端的Q端口向服务器端的R端口发起TCP三次握手连接
主动模式下:如果客户端与服务器端由NAT设备,那么从客户端发送出来的端口,IP地址
就不是经过NAT转换后的,因此服务器端无法向私网中的客户端端口发起TCP连接
被动模式下,如果服务器端在防火墙内,并且开放客户端到服务器端的主动访问,同样无法成功建立FTP连接
文件传输——TFTP
目标是传递小文件,以UDP(69号端口)进行传输。无需认证,只能直接向服务器端请求某个文件或者上传某个文件
TFTP上传下载文件过程
因此TFTP就存在五种数据包:
RRQ:读请求包
WRQ:写请求包
DATA:数据传输报文
ACK:应答包
ERROR:差错控制报文
Telnet
与console接口管理不同,只要IP可达,能够与设备的23端口进行通信即可
虚拟用户界面
当用户使用console接口,Telnet等方式登录设备时,系统会分配用户界面来管理当前会话
Telnet所对应的用户界面是VTY
在Telnet开启本地认证,需要设置用户权限为level 15
DHCP
DHCP采用C/S架构,主机无需配置,从服务器端获取地址即可
DHCP优点
方便管理
地址租期,对于已经分配的IP地址,超过租期还没有续租就不再使用该IP地址
DHCP工作原理
客户端在二层网络中发送DHCP Discover广播报文,用于发现当前网络中的DHCP服务器
各个DHCP服务器收到广播报文后发送一个DHCP offer单播报文(附带分配的IP地址)给客户端。
客户端发送一个DHCP Request广播报文,告知服务器(其他服务器也会收到)自己将使用该IP地址(注意为什么不直接使用IP地址而还要发送一个广播报文?保证其他服务器能够知晓客户端已经选择了其他服务器端提供的IP地址,能够释放掉自己的通过单播分配给客户端的地址)
服务器端发送DHCP Ack单播报文给客户端,告知它可以使用该IP地址
DHCP租期更新
客户端向服务器端发送DHCP Request单播报文,请求继续使用IP地址
服务器发送一个DHCP Ack单播报文给客户端,告知客户端可以继续使用该IP地址
在50%租期时客户端没有得到服务器的响应,在87.5%租期的时候会发送DHCP Request广播报文给任意一台DHCP服务器端都可以响应,该过程称为重绑定
HTTP
用户在浏览器输入URL地址后,客户端使用DNS域名解析出IP地址后,发送HTTP请求给服务器;服务器收到请求后,寻找文件,将其传递给客户端;客户端根据文件渲染浏览器页面
DNS
DNS客户端到DNS服务器端采用UDP通信
DNS查询方式
由于DNS是一个分布式系统绝大多数的服务器端的数据库不会拥有所有的域名记录;当客户端查询域名,但是DNS服务器端没有域名记录时,会有两种查询方式
递归查询:DNS服务器向其他DNS服务器进行查询,将查询结果告知客户端
迭代查询:DNS服务器告知DNS客户端其他的DNS服务器地址,客户端自行向其他DNS服务器进行查询;迭代查询返回的是另一个DNS服务器的地址
网络时间协议NTP
TCP/IP协议族的一个应用层协议,用于在一系列分布式时间服务器与客户端之间同步时钟
NTP的实现要基于IP和UDP,NTP报文通过UDP进行传输,端口号是123
NTP网络结构
主时间服务器:通过线缆或无线电直接同步到标准参考时钟,标准参考时钟通常是Radio Clock或卫星定位
二级时间服务器:通过网络中的主时间服务器或者其他二级时间服务器取得同步。通过NTP将时间信息传送给局域网内部的其他主机
层数:对时钟同步情况的一个分级标准,代表了一个时钟的精确度,取值范围1-15;数值越小越精确;1代表时钟精确度最高,15代表未同步
WLAN概述
无线局域网是通过无线技术构建的无线局域网络,无线技术不只是Wi-Fi,还有蓝牙,红外,Zigbee等
无线局域网按照应用范围可以分为
| WPAN | 个人无线网络 | 常用技术:Bluetooth,ZigBee,NFC,HomeRF,UWB |
| WLAN | 无线局域网 | 常用技术:Wi-Fi |
| WMAN | 无线城域网 | 常用技术:WiMax |
| WWAN | 无线广域网 | 常用技术:GSM,CDMA,WCDMA,TD-SCDMA,LTE,5G |
IEEE 802.11
主要对标TCP/IP结构的物理层,数据链路层
数据链路层:信道接入,寻址,数据帧校验,错误检测,安全机制
物理层:在空口(空中接口)中传输比特流,例如规定所使用的频段
发展过程
初代移动办公时代
对WLAN的安全,容量和漫游等方面还没有明确的诉求,接入点的形态还是单个接入点,用于单点组网覆盖。通常称为单个接入点架构的AP为FAT AP
无线办公时代
全无线办公时代
无线接入点AP
一般都支持胖AP,瘦AP和云管理AP三种工作模式。
胖AP:适用于家庭,成本低,功能单一,独立完成用户接入等功能
瘦AP:适用于大中型企业,需要配合AC使用,由AC统一管理和配置,功能丰富
云管理AP:适用于中小型企业,需要配合云管理平台使用
无线接入控制器AC
一般位于网络汇聚层。
提供大容量,高性能,易安装,具有组网灵活、绿色节能等优势
PoE交换机
通过以太网网络进行供电,也被称为基于局域网的供电系统PoL或有源以太网
PoE支持电功率通过传输数据的线路或空闲线路传输到终端设备
PoE交换机可以对AP进行充电
WLAN组网架构
分为有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议,无线侧是指STA和AP之间的网络使用802.11协议
FAT AP架构
不需要专门的设备集中管理就能完成无线用户的接入
适用于家庭
AP独立工作,需要单独配置,功能单一
缺点:随着接入用户增多,需要部署的FAT AP的数量也会增多,但是FAT AP是独立工作的,管理这些AP就十分麻烦
AC+Fit AP架构
AC负责WLAN的接入控制,转发和统计,AP的管理;AP负责802.11报文的加解密,802.11的物理层功能
使用于中大型企业
使用需要配合AC,由AC统一管理和配置
CAPWAP协议
CAPWAP隧道
AC通过CAPWAP隧道对AP进行集中管理与控制
基于UDP进行传递数据
CAPWAP在传输层传输的两种类型消息
通过CAPWAP数据隧道,业务数据流量,封装转发无线数据帧,使用UDP端口5246
通过CAPWAP控制隧道,管理AP与AC之间的管理信息,使用UDP端口5247
AP-AC组网方式
AC连接方式
- 直连式组网,AP和AC必须与上层网络串联在一起,AP的所有数据都经过AC到达上层网络;此时AC充当AC和汇聚交换机的功能;对AC的吞吐量要求比较高
- 旁挂式组网,AC旁挂在AP的上行网络的直连网络中,AC与AP之间用CAPWAP隧道进行通信,AP的所有数据都直接从上行网络转发,也可以通过CAPWAP隧道再转发。
无线通信系统
所有信息通过编码,调制再发送出去。接收方解调,解码后得到信息
编码
- 信源编码:将原始信息转换成为数字信号
- 信道编码:对信息纠错检错,接收设备能够最大程度地回复信息,降低在无线传输过程中的误码
调制
将数字信号叠加到高频振荡电路产生得到高频信号上
空中接口
称为空口,发送设备与接收设备使用接口和信道连接;对于无线通信,接口不可见
无线电磁波
WLAN使用的频段
| 2.4GHZ | IEEE 802.11 b/a/g/n/ax |
| 5GHZ | IEEE 802.11 a/n/ac/ax |
无线信道
每个频率范围就是无线信道
BSS/SSID/BSSID
BSS 基本服务集
指一个AP的覆盖范围,通常由一个AP和若干个STA组成
BSSID
指无线网络的一个标识,用AP的MAC地址标识;终端要发现AP就是通过BSSID
SSID
同样是无线网络的标识,只是用的是字符串标识,方便用户
虚拟AP VAP
VAP就是一个物理实体上虚拟出的多个AP,每一个被虚拟出来的AP和物理实体AP有一样的功能
每个AP对应一个BSS,这样创建出来的多个VAP就对应多个BSS,可以为这些BSS设置SSID
适用于在一个BSS中创建多个BSS
扩展服务集 ESS
由多个使用相同SSID的BSS组成,是采用相同SSID的多个BSS组成的更大规模的虚拟BSS
目的就是为了让用户从一个BSS移动到另一个BSS并感受不到SSID的变化
WLAN漫游
STA在属于同一个ESS的不同AP的覆盖范围之间移动并保持用户业务不中断的行为
WLAN的工作原理
| AP上线 |
| WLAN业务配置下发 |
| STA接入 |
| WLAN业务数据转发 |
第一步——AP上线
- AP获取IP地址
AP获取IP地址分为静态获取与DHCP动态获取,动态获取可以使用专门的DHCP服务器为其分配IP地址,也可以通过AC的DHCP服务器为其分配 - CAPWAP隧道建立;
Discovery阶段,AP发送广播报文寻找可用的AC;寻找方式分为静态方式和动态方式,静态方式是指AP上预先配置AC的IP地址;动态方式是指广播方式,DHCP,DNS方式
建立CAPWAP隧道阶段。建立数据隧道,AP的数据报文转发到AC;建立控制隧道
DHCP方式动态发现AC
AP发送一个DHCP Discovery广播报文,DHCP服务器收到后,会返回一个DHCP Offer报文携带 option 43,其中包含AC的IP地址列表
AP拿到列表后,通过AC发现机制确定哪些AC是可用的。以单播或广播的方式给这些AC发送Discovery Request报文后,AC会返回一个Discovery Responce给AP。AP可以通过Discovery Responce中的AC优先级确定与哪个AC建立会话
广播方式动态发现AC
当DHCP或DNS方式都没有获取到AC的IP,则会启动广播发现流程,以广播包方式发出请求报文。接收到请求报文的AC会检查该AP是否有接入本机的权限,如果有就响应,如果没有就拒绝请求
广播方式只适用于AC/AP间二层可达,换句话说,两者必须在同一网段!!
建立CAPWAP隧道
数据隧道:AP接受的业务数据报文经过CAPWAP隧道集中到AC上转发,同时可以对数据隧道进行数据传输层安全DTLS加密,CAPWAP数据报文都会经过DTLS加解密
控制隧道:同理,也能对数据传输层安全DTLS加密,这样CAPWAP控制报文都会经过DTLS加解密
- AP接入控制;发现AC后,AP会发送Join Request报文,AC收到后判断是否允许该AP接入,并返回Join Responce报文;AC对AP的认证方式:MAC认证,序列号认证,和不认证
AC添加AP的方式
离线导入:预先配置AP的MAC和SN,建立连接时发现AP的MAC和SN与设置好的一样,AC和AP就开始连接
自动发现AP:AP是不认证或MAC/SN认证且在白名单内,AP将被AC自动发现并正常上线
手工确认未在列表的AP:AP为MAC/SN认证,且未离线导入,不在白名单内。AP会被记录到未授权的AP列表中。需要用户手工确认
- AP的版本更新;AP根据收到的Join Rersponce报文判断当前版本是否与AC上指定的一致,如果不一样,就发送Image data Request报文请求软件版本,然后进行版本升级;升级方式包括AC模式,FTP模式,和SFTP模式
AC模式
AP从AC上下载升级版本,适用于AP数量较少的情况
FTP模式
AP升级时从FTP服务器上下载升级版本,采用明文传输,适用于对网络安全性要求不高的情况
SFTP模式
对数据进行了加密,适用于对安全要求高的情况
- CAPWAP隧道维持;AP和AC之间交互Keepalived报文检测数据隧道的连通状态;AP与AC之间通过Echo报文检测控制隧道的连通状态
为了确保AP正常上线,AC需要提前做的工作
把自己配置成为DHCP服务器,或者另外配置DHCP服务器,为STA和AP配置IP地址
创建AP组,方便对一个组的AP进行同样的操作
配置AC的国家码,表示AP在不同的国家
配置源接口或源地址,方便AP学习到该接口或改地址
配置AP自动升级
最后添加设备
第二步——WLAN业务配置下发
AP上线后主动发送Configuration Status Request报文给AC,介绍自己的配置;AC检查配置后,与AC配置要求不符的情况下,AC发送Configuration Status Responce报文给AP
- 给AP或AP组配置模版;
域管理模版,国家码表示AP射频所在的国家,这样做的目的是为了使AP射频特性符合当地法律法规;调优信道集合用来指定AP信道动态调整的范围
射频模版,优化射频参数,提高WLAN通信质量
VAP模版,在该模板下配置各项参数,应用到AP上就会生效,用来为AP提供无线接入服务
VAP模版下创建SSID模版(可以设置SSID隐藏),创建安全模块(对STA身份验证),配置数据转发方式(直接转发还是隧道转发),配置业务WLAN(划分多个VLAN,减少广播域)
第三步——STA接入
扫描
STA主动扫描AP,根据发送的探测请求帧是否带有SSID可以分为两类:携带指定SSID的探测请求帧和携带空SSID的探测请求帧;STA被动扫描AP定期发送的Beacon帧
链路认证
WLAN技术容易被监听,因此有以下无线接入安全协议
WEP,有线等效加密协议,核心是RC4算法。WEP加密采用静态的密钥,接入同一SSID下的所有STA使用相同的密钥访问网络
WPA/WPA2,改进了WEP的对称密钥流算法
开放系统认证,即不认证
共享密钥认证,STA和AP事先配置相同的共享密钥
关联
AP通过发送Association报文给AP,由AP转发给AC,AC发送响应报文;其中包括的主要是支持的速率,信道等
接入认证
是对用户身份的认证,限制其访问权限。主要包括,P2K认证和802.1x认证;
此外对数据报文进行加密保证数据报文的安全性也是在接入认证阶段完成
DHCP
AP获取IP地址正常上线,一般使用汇聚层交换机作为DHCP服务器
用户认证
802.1x认证,MAC认证,Portal认证(也叫做Web认证,必须通过特殊的网站进行认证后才能数据转发)
第四步——WLAN业务数据转发
隧道转发方式(集中转发)
数据到达AP后,经过CAPWAP隧道封装上传;优点:集中管理方便;缺点:AC压力大
直接转发方式
数据到达AP不经过隧道而是直接转发;优点:AC压力小;缺点不方便集中管理